Ringkasan IC-Score
Applied Threat Intelligence (ATI) di Google Security Operations menilai dan menetapkan Skor Keyakinan Indikator (IC-Score) ke Indikator Gangguan (IoC). IC-Score menggabungkan informasi dari lebih dari 100 sumber intelijen open source dan eksklusif Mandiant ke dalam satu rating. Dengan menggunakan machine learning, setiap sumber intelijen diberi tingkat keyakinan berdasarkan kualitas intelijen yang mereka berikan, yang ditentukan oleh penilaian manual dan metode berbasis data skala besar (lihat deskripsi sumber IC-Score).
Skor IC menangkap probabilitas bahwa indikator tertentu terkait dengan aktivitas berbahaya (positif benar). Untuk menghitung probabilitas akhir kejahatan, model machine learning menggabungkan semua informasi yang tersedia tentang indikator, yang diberi bobot berdasarkan keyakinan yang dipelajari untuk setiap sumber informasi.
Karena hanya ada dua kemungkinan hasil, berbahaya atau tidak berbahaya, semua indikator dimulai dengan probabilitas 50% untuk menjadi berbahaya atau tidak berbahaya jika tidak ada informasi yang tersedia. Dengan setiap informasi tambahan, skor dasar didorong ke arah probabilitas kejahatan 0% (diketahui tidak berbahaya) atau probabilitas kejahatan 100% (diketahui berbahaya).
Google SecOps menyerap IoC yang dikurasi oleh ATI dengan IC-Score lebih dari 80.
Tabel berikut menjelaskan rentang kemungkinan Skor IC.
| Skor | Penafsiran |
|---|---|
| <= 40% | Diketahui tidak berbahaya atau derau |
| > 40% dan < 60% | Tidak dapat ditentukan/tidak diketahui |
| >= 60% dan < 80% | Mencurigakan |
| >= 80% | Berbahaya yang diketahui |
Informasi penuaan indikator
Sistem IC-Score menggabungkan informasi baru, memperbarui data pengayaan, dan menghapus informasi lama selama peristiwa pemberian skor berikut:
Pengamatan baru terhadap indikator di salah satu sumber OSINT kami atau sistem pemantauan eksklusif Mandiant
Periode waktu tunggu khusus indikator untuk setiap sumber dan pengayaan
Periode waktu tunggu ditentukan oleh tanggal terakhir indikator terlihat di sumber atau pengayaan yang relevan. Analisis pelanggaran menganggap informasi sudah tidak berlaku dan berhenti menganggapnya sebagai faktor aktif dalam menghitung skor setelah jumlah hari tertentu sejak indikator terakhir diamati oleh sumber yang relevan, atau saat informasi diperbarui oleh layanan pengayaan.
Tabel berikut menjelaskan atribut stempel waktu penting yang terkait dengan indikator.
| Atribut | Deskripsi |
|---|---|
| Pertama terlihat | Stempel waktu saat indikator pertama kali diamati dari sumber tertentu. |
| Terakhir terlihat | Stempel waktu saat indikator terakhir diamati dari sumber tertentu. |
| Terakhir diperbarui | Stempel waktu saat IC-Score atau metadata lainnya dari indikator terakhir kali diperbarui karena penuaan indikator, pengamatan baru, atau proses pengelolaan lainnya. |
Deskripsi sumber skor IC
Penjelasan IC-Score menampilkan alasan skor ditetapkan ke indikator dan kategori sistem mana yang memberikan penilaian keyakinan tentang indikator tersebut. Untuk menghitung Skor IC, ATI mengevaluasi berbagai sumber eksklusif dan pihak ketiga. Setiap kategori sumber dan sumber tertentu memiliki ringkasan jumlah respons putusan berbahaya atau tidak berbahaya yang ditampilkan, beserta penilaian kualitas data sumber. Hasilnya digabungkan untuk menentukan Skor IC.
Tabel berikut memberikan penjelasan mendetail tentang kategori sumber.
| Sumber | Deskripsi |
|---|---|
| Pemantauan Botnet | Kategori Pemantauan Botnet berisi putusan berbahaya dari sistem eksklusif yang memantau traffic, konfigurasi, dan kontrol dan perintah (C2) botnet secara live untuk mendeteksi indikasi infeksi botnet. |
| Hosting Antipeluru | Kategori Hosting Antipeluru berisi sumber yang memantau pendaftaran dan penggunaan infrastruktur dan layanan hosting antipeluru, yang sering kali menyediakan layanan untuk aktivitas terlarang yang tahan terhadap upaya perbaikan atau penonaktifan. |
| Analisis Ancaman Berbasis Crowdsource | Analisis Ancaman Berbasis Crowdsource menggabungkan hasil putusan berbahaya dari berbagai layanan dan vendor analisis ancaman. Setiap layanan yang merespons diperlakukan sebagai respons unik dalam kategori ini dengan keyakinan terkaitnya sendiri. |
| Analisis FQDN | Kategori Analisis FQDN berisi putusan berbahaya atau tidak berbahaya dari beberapa sistem yang melakukan analisis domain, termasuk pemeriksaan resolusi IP, pendaftaran, dan apakah domain tersebut tampaknya merupakan typosquatting. |
| Konteks GreyNoise | Sumber Konteks GreyNoise memberikan putusan berbahaya atau tidak berbahaya berdasarkan data yang berasal dari [layanan Konteks GreyNoise](https://docs.greynoise.io/reference/noisecontextip-1). Layanan ini memeriksa informasi kontekstual tentang alamat IP, termasuk informasi kepemilikan dan aktivitas tidak berbahaya atau berbahaya yang diamati oleh infrastruktur GreyNoise. |
| GreyNoise RIOT | Sumber GreyNoise RIOT menetapkan putusan tidak berbahaya berdasarkan [layanan GreyNoise RIOT](https://docs.greynoise.io/reference/riotip), yang mengidentifikasi layanan tidak berbahaya yang diketahui menyebabkan positif palsu umum berdasarkan pengamatan dan metadata tentang infrastruktur dan layanan. Layanan ini memberikan dua tingkat keyakinan dalam penetapan tidak berbahaya, yang kami gabungkan sebagai faktor berbobot yang terpisah dan sesuai dalam skor. |
| Pustaka Pengetahuan | Grafik Pengetahuan Mandiant berisi penilaian intelijen Mandiant terhadap indikator yang berasal dari analisis intrusi siber dan data ancaman lainnya. Sumber ini memberikan putusan yang tidak berbahaya dan berbahaya pada skor indikator. |
| Analisis Malware | Kategori Analisis Malware berisi hasil dari beberapa sistem analisis malware statis dan dinamis eksklusif, termasuk model machine learning MalwareGuard Mandiant. |
| MISP: Penyedia Dynamic Cloud Hosting (DCH) | Penyedia MISP: Dynamic Cloud Hosting (DCH) memberikan putusan tidak berbahaya berdasarkan beberapa daftar MISP yang menentukan infrastruktur jaringan yang terkait dengan penyedia hosting cloud, seperti Google Cloud dan Amazon AWS. Infrastruktur yang terkait dengan penyedia DCH dapat digunakan kembali oleh sejumlah entitas sehingga kurang dapat ditindaklanjuti. |
| MISP: Lembaga Pendidikan | Kategori MISP: Institusi Pendidikan memberikan putusan tidak berbahaya berdasarkan daftar domain universitas MISP dari seluruh dunia. Kehadiran indikator dalam daftar ini menunjukkan adanya hubungan yang sah dengan universitas dan menyarankan agar indikator tersebut dianggap tidak berbahaya. |
| MISP: Internet Sinkhole | Kategori MISP: Sinkhole Internet memberikan putusan tidak berbahaya berdasarkan daftar MISP tentang infrastruktur sinkhole yang diketahui. Karena sinkhole digunakan untuk mengamati dan menahan infrastruktur yang sebelumnya berbahaya, kemunculan di daftar sinkhole yang diketahui mengurangi skor indikator. |
| MISP: Penyedia Hosting VPN yang Diketahui | Kategori MISP: Penyedia Hosting VPN yang Diketahui memberikan putusan tidak berbahaya berdasarkan beberapa daftar MISP yang mengidentifikasi infrastruktur VPN yang diketahui, termasuk daftar vpn-ipv4 dan vpn-ipv6. Indikator infrastruktur VPN diberi vonis tidak berbahaya karena banyaknya pengguna yang terkait dengan layanan VPN ini. |
| MISP: Lainnya | Kategori MISP: Lainnya berfungsi sebagai kategori default untuk daftar MISP yang baru ditambahkan atau daftar sekali pakai lainnya yang tidak sesuai dengan kategori yang lebih spesifik. |
| MISP: Infrastruktur Internet Populer | Kategori MISP: Infrastruktur Internet Populer memberikan putusan tidak berbahaya berdasarkan daftar MISP untuk layanan web populer, layanan email, dan layanan CDN. Indikator dalam daftar ini terkait dengan infrastruktur web umum dan harus dianggap tidak berbahaya. |
| MISP: Situs Populer | Kategori MISP: Situs Populer memberikan putusan tidak berbahaya berdasarkan popularitas domain di beberapa daftar popularitas domain, termasuk Majestic 1 Million, Cisco Umbrella, dan Tranco. Kehadiran di beberapa daftar popularitas meningkatkan keyakinan bahwa domain tersebut tidak berbahaya. |
| MISP: Software Tepercaya | Kategori MISP: Software tepercaya memberikan hasil yang tidak berbahaya berdasarkan daftar hash file MISP yang diketahui sah atau menyebabkan positif palsu dalam feed intelijen ancaman. Sumber mencakup daftar MISP seperti nioc-filehash dan common-ioc-false-positives. |
| Pemantauan Spam | Pemantauan Spam berisi sumber eksklusif yang mengumpulkan dan memantau indikator terkait aktivitas spam dan phishing yang teridentifikasi. |
| Tor | Sumber Tor menetapkan putusan tidak berbahaya berdasarkan beberapa sumber yang mengidentifikasi infrastruktur Tor dan node keluar Tor. Indikator node Tor diberi verdict tidak berbahaya karena volume pengguna yang terkait dengan node Tor. |
| Analisis URL | Kategori Analisis URL berisi putusan berbahaya atau tidak berbahaya dari beberapa sistem yang melakukan analisis konten dan file yang dihosting URL |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.